CVE-2021-40860

Versões do Genesys Intelligent Workload Distribution (IWD) anteriores à 9.0.013.11

Uma vulnerabilidade de injeção de SQL no componente de consulta de filtro personalizado permite que um invasor execute consultas SQL arbitrárias por meio do parâmetro ql expression. Isso possibilita a extração de todos os dados do banco de dados e, potencialmente, permite a execução de comandos do sistema operacional, dependendo das permissões e/ou do mecanismo do banco de dados.

Para versões anteriores à 9.0.013.11, atualize para a versão 9.0.013.11 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente de consulta de filtro personalizado para minimizar o risco de exploração. Evite usar o parâmetro ql expression no componente afetado até que o problema seja resolvido.